A Vimeo confirmou uma violação de dados que resultou em acesso não autorizado a parte de sua base de usuários.
Segundo a empresa, o incidente teve origem em uma invasão sofrida pela Anodot, fornecedora terceirizada de analytics usada pela plataforma e por outras organizações.
De acordo com o relato publicado, o caso foi ligado ao grupo ShinyHunters, conhecido por campanhas de roubo de dados em ambientes SaaS.
A suspeita é que os invasores tenham explorado conexões de API confiáveis entre a Anodot e seus clientes para alcançar o ambiente da Vimeo sem atacar diretamente a infraestrutura principal da empresa.
Na análise inicial, a Vimeo disse que os dados acessados incluem informações técnicas operacionais internas, títulos de vídeos e metadados associados, além de endereços de e-mail de clientes e usuários em alguns casos.
Por outro lado, a companhia afirmou que conteúdos de vídeo, credenciais válidas de login e dados de cartão de pagamento não foram expostos.
Após detectar o acesso indevido, a empresa informou que desativou imediatamente todas as credenciais ativas ligadas à Anodot e removeu por completo a integração da fornecedora de seus sistemas internos.
A Vimeo também acionou especialistas externos em resposta a incidentes e comunicou autoridades policiais.
